Όπως συμβαίνει με κάθε τι το καινούριο κάνει την εμφάνισή του στην ΙΤ αγορά, τα βλέμματα στρέφονται -σχεδόν- αυτομάτως προς αυτό, το ενδιαφέρον είναι έντονο και οι σχετιζόμενες υπερβολές δείχνουν να βρίσκονται στην ημερήσια διάταξη... Καθώς οι IoT συσκευές εμφανίζουν τεράστια δυναμική σε επίπεδο διείσδυσης κατά μήκος αγορών, τομέων και κλάδων, το ερώτημα που προκύπτει αβίαστα είναι ποιος ο βαθμός ρίσκου και επικινδυνότητας καταστρατήγησης της ΙΤ ασφάλειας οργανισμών και επιχειρήσεων; Μήπως ο ΙοΤ ενθουσιασμός οδηγήσει σε ολέθρια αποτελέσματα;

Ανοικταίς θύραις” κρούουν όσοι θεωρούν πως το Internet of Things (IoT) εμπίπτει σε μια διττή λογική σε ότι αφορά την παρουσία και λειτουργία του στην αγορά: Δείγμα ενός γενναίου όσο και ανατρεπτικού νέου κόσμου ή κατώφλι που οδηγεί σε ένα “δυσοίωνο” μέλλον; Βλέπετε, πρόκειται για την συνήθη διαδικασία της θέσπισης διλημμάτων, του διαχωρισμού και της επιλογής στρατοπέδου με βάση τις εμπειρίες, την οπτική και το σημείο από το οποίο εκκινεί κάθε ένας.

Συνήθως δε, η αλήθεια ανάγεται σε κάτι το σχετικό. Ωστόσο, στην συγκεκριμένη περίπτωση μπορεί και να σχετίζεται από τον τρόπο αποτελεσματικής αντιμετώπισης του “ακανθώδους” ζητήματος της κυβερνοασφάλειας. Αποτελεί κοινό τόπο πως οι επισημάνσεις και προειδοποιήσεις που αφορούν το αυξημένο ρίσκο που απορρέει από τον κυβερνοχώρο έλκουν την καταγωγή τους εδώ και αρκετά χρόνια. Κι αυτό, παρά το γεγονός ότι οι επιχειρήσεις της ΙΤ βιομηχανίας παγκοσμίως έχουν πραγματοποιήσει σημαντική πρόοδο επί του θέματος, όχι -όμως- με την ταχύτητα και την αποτελεσματικότητα που απαιτούν οι καταστάσεις σήμερα. Έτσι, λοιπόν, καθώς οι πάσης φύσεως embedded τεχνολογικές και εν γένει ΙΤ συσκευές αυξάνουν γεωμετρικά τον βαθμό διείσδυσής τους στον επιχειρηματικό κόσμο, σε κάθε πιθανή μορφή, τομέα και αγορά: Από τα βιομηχανικά συστήματα και τις οικιακές συσκευές μέχρι τα οχήματα ακόμη και τα αεροσκάφη, γεννάται το ερώτημα εάν πρέπει να διακατεχόμαστε από φόβο και επιφυλακτικότητα.

Κι όμως, οι απειλές είναι εδώ, παρούσες!
Ένα από τα πλέον συνηθισμένα λάθη στα οποία και υποπίπτει σημαντικό μέρος του πληθυσμού, δεν είναι άλλο από το να αναφέρεται σε αυτό σε μελλοντικό χρόνο. Κι αυτό, ενόσω, ήδη, τα ενσωματωμένα πληροφοριακά συστήματα και οι “έξυπνες” συσκευές αργά, αλλά σταθερά, δείχνουν να κατακτούν τον κόσμο… Μια σειρά από προβλέψεις επισημαίνουν πως μέχρι τα μέσα του τρέχοντος έτους, περίπου 10 δισεκατομμύρια συνδεδεμένες “συσκευές” (το “T”, ουσιαστικά, στον ορισμό του Internet of Things – IoT) θα βρίσκονται σε χρήση παγκοσμίως. Μέγεθος ενισχυμένο κατά 40% εν συγκρίσει με ότι ίσχυε κατά τη διάρκεια του 2016! Μάλιστα, όπως υπογραμμίζεται, το προαναφερθέν μέγεθος αναμένεται να υπερκεράσει τα επίπεδα των 20 δισεκατομμυρίων συσκευών μέχρι το 2020. Εάν αναρωτιέστε σχετικά με το σε ποια σημεία βρίσκονται τα εν λόγω συνδεδεμένα αντικείμενα, δεν έχετε παρά να κοιτάξτε γύρω σας: Από smart TVs, settop boxes και αυτοκίνητα, μέχρι ηλεκτρικούς μετρητές, κάμερες ασφαλείας κ.ο.κ. Κυριολεκτικά, η σχετική λίστα είναι ατελείωτη… Πρόσφατα, υπολογίστηκε πως τουλάχιστον 4 τέτοιες συσκευές υπάρχουν ήδη κατά μέσο όρο ανά νοικοκυριό σε διεθνές επίπεδο. Εάν θέλετε να κάνετε μια αντίστοιχη αναγωγή στην… σφαίρα του επιχειρείν, το IoT έχει ήδη διεισδύσει τόσο σε επίπεδο βιομηχανικών διαδικασιών όσο και στο περιβάλλον του γραφείου: Από “έξυπνους” εκτυπωτές και λαμπτήρες φωτισμού, μέχρι μονάδες ψύξης, ακόμη και καρέκλες, που συνολικά μπορούν να μετατρέψουν ένα γραφείο σε ένα περισσότερο ευχάριστο, ασφαλές όσο και περισσότερο παραγωγικό μέρος εργασίας. Στο μεταξύ, τα embedded πληροφοριακά συστήματα δείχνουν να αυξάνουν σταδιακά την παρουσία τους στον τομέα των βιομηχανικών συστημάτων ελέγχου σε ουκ ολίγες καθετοποιημένες αγορές, όπως λ.χ. στην ενέργεια, την ύδρευση, τις μεταφορές, τις κατασκευές, την φαρμακοβιομηχανία κ.ά. Μάλιστα, τέτοιου είδους συστήματα δύναται να βελτιώσουν σε εντυπωσιακό βαθμό την λειτουργική “ευφϋία” και ασφάλεια δια μέσω της ανίχνευσης, της καταγραφής της συλλογής και της ανάλυσης δεδομένων που λαμβάνουν χώρα σε διαρκές επίπεδο. Κάτι, που επιτρέπει στους managers ή ακόμη και στα αυτοματοποιημένα συστήματα να πραγματοποιούν ανάλογες προσαρμογές και διορθώσεις. Αποτέλεσμα; Αυτή η μορφή ψηφιακού μετασχηματισμού ανατρέπει εκ βάθρων την μέχρι πρότινος ισχύουσα τάξη και συνθήκες, δημιουργώντας καινοτόμους όσο και ενδιαφέροντες τρόπους εργασίας, επιχειρηματικών μοντέλων και προϊόντων.


Κι όμως, οι σημαντικές τεχνολογικές εξελίξεις συνεπάγονται και καινούριες κυβερνο-απειλές.

Για τους CISO, το embedded computing παρέχει μια νέα σειρά από προκλήσεις, προσφέροντας -ουσιαστικά- στους εξ’ αποστάσεως hackers έναν αρκούντως εύκολο τρόπο να διερευνήσουν τον βαθμό τρωτότητας των εταιρικών δικτύων, προς άγραν ευαίσθητων δεδομένων. Την ίδια στιγμή, επιτρέπουν στους επιτιθέμενους να χακάρουν μαζικά καταναλωτικές “έξυπνες” συσκευές, να τις κατατάξει σε botnets και εν συνεχεία να ξεκινήσει DDoS και άλλες μορφές επιθέσεων εναντίον επιχειρήσεων και οργανισμών. Έπειτα, δεν πρέπει να παραβλέπεται το γεγονός της δυνητικής ύπαρξης ακόμη πιο επιζήμιων σεναρίων και υποθέσεων, με βάση τα οποία οι IoT συσκευές μπορούν να γίνουν hacked έτσι ώστε να ελέγξουν και με φυσικό τρόπο ή να προκαλέσουν ζημιά σε αντίστοιχα συστήματα.

Όχι, δεν πρόκειται -πλέον- για θεωρία…
Τα τελευταία χρόνια έχουν λάβει χώρα μια σειρά από περιστατικά που άπτονται και των τριών προαναφερθέντων τύπων επίθεσης, γεγονός που αποδεικνύει εμπράκτως πως η απειλή δεν είναι πλέον θεωρητική! Στην πραγματικότητα, παρακινούμενοι από χρηματικά κίνητρα, οι κυβερνο-εγκληματίες μόνο κέρδη έχουν να προσποριστούν από την αναζήτηση καινούργιων IoT κενών και ευπαθειών.

Για παράδειγμα, μια από τις πλέον γνωστές περιπτώσεις πρόσφατα ήταν οι επιθέσεις Mirai. Το Mirai περιγράφεται ως ένα “όμορφα απλό” κομμάτι κακόβουλου λογισμικού το οποίο σκανάρει το διαδίκτυο προκειμένου να βρει συσκευές IoT που προστατεύονται μόνο από τις προεπιλεγμένες εργοστασιακές ρυθμίσεις. Σε περίπτωση που αυτά τα log-ins συναντώνται σε μια προκαθορισμένη λίστα που περιέχει 60 κοινά εργοστασιακά ονόματα χρήστη και κωδικούς πρόσβασης, αυτομάτως θα καταγραφούν από τον ίδιο τον εισβολέα.

Αποτέλεσμα; Τα botnets που προέκυψαν ξεκίνησαν ορισμένες από τις μεγαλύτερες επιθέσεις DDoS που καταγράφηκαν ποτέ, συμπεριλαμβανομένου μιας απέναντι στην εταιρεία DNY, Dyn τον Οκτώβριο του 2016, που -μεταξύ άλλων- κατάφερε να θέσει νοκ-άουτ και εκτός λειτουργίας ορισμένα από τα μεγαλύτερα ονόματα του web, όπως λ.χ. των Spotify, Airbnb και Twitter! Αναμφίβολα πρόκειται για ένα… κλασσικό παράδειγμα του τρόπου με τον οποίο οι κατασκευαστές συχνά παραμελούν την ασφάλεια στην βιασύνη τους να τοποθετήσουν τα προϊόντα τους στην αγορά. Τα τελευταία, ενδέχεται σε ορισμένες περιπτώσεις να μην διαθέτουν τους πιο βασικούς μηχανισμούς ενημέρωσης ασφαλείας. Ένα άλλο παράδειγμα είναι η απειλή του Devil’s Ivy, που ανακαλύφθηκε στο δημοφιλές πακέτο εργαλείων web services gSOAP, ένα πρωτόκολλο πρόσβασης απλού αντικειμένου. Εάν κάποιος κακόπιστος το εκμεταλλευτεί, αυτομάτως θα ήταν σε θέση να παρέχει στους επιτιθέμενους εξ’ αποστάσεως πρόσβαση σε μια επηρεαζόμενη συσκευή.

Μάλιστα, η πρόκληση με το gSOAP έγκειται στο γεγονός ότι επειδή είναι ιδιαίτερα διαδεδομένο, το όποιο ελάττωμα προκύψει μπορεί να επηρεάσει δεκάδες εκατομμύρια συσκευές! Ένας ακόμη, υπαρκτός, κίνδυνος σχετίζεται με την κλοπή δεδομένων και την διείσδυση στο δίκτυο. Οποιοδήποτε δίκτυο είναι τόσο ασφαλές όσο το ασθενέστερο στοιχείο που το απαρτίζει. Οπότε, με την εισαγωγή συσκευών IoT σε αυτό, έχει προστεθεί δυνητικά ένας ακόμη, πιο αδύναμος αυτή τη φορά, σύνδεσμος. Πόσο, μάλλον, από τη στιγμή κατά την οποία ένας εισβολέας μπορεί να χρησιμοποιήσει μια συσκευή IoT ως σημείο εισόδου στο δίκτυο. Όταν δε, βρεθεί στο εσωτερικό του, τότε είναι σε θέση να μετακινηθεί κατά το δοκούν, πραγματοποιώντας επιθέσεις στο σύστημα, ανάλογα με τα κίνητρα, τις προθέσεις και τις ικανότητές του.

Επικεντρωθείτε στο Firmware
Μια συνοπτική ματιά στην Οδηγία Ασφάλειας IoT του OWASP θα αναδείξει πόσα στοιχεία του IoT οικοσυστήματος θα μπορούσαν να εκμεταλλευτούν κακόβουλα εκ μέρους των κυβερνοεγκληματιών. Μεταξύ άλλων, αυτά περιλαμβάνουν το web interface, το δίκτυο, το επίπεδο κρυπτογράφησης μεταφοράς, τις εφαρμογές για κινητά τηλέφωνα, καθώς επίσης και το firmware συσκευών. Οι χάκερ θα μπορούσαν να εκμεταλλευτούν πλήρως για τους σκοπούς τους το firmware του IoT chip προκειμένου να αναβοσβήσουν την εικόνα, επιτρέποντάς τους να επανεκκινήσουν και να “τρέξουν” αυθαίρετο κώδικα. Το πρόβλημα με αυτό το είδος επίθεσης είναι ότι παραδίδει -ουσιαστικά- στους hacker τον πλήρη έλεγχο της συσκευής. Μάλιστα, δεν μπορεί να ανακληθεί μέσω μιας επανεκκίνησης του ίδιου του συστήματος.

Ποια είναι η απάντηση; Να διασφαλιστεί το γεγονός ότι τα IoT συστήματα θα ενεργοποιούνται μόνο στην περίπτωση κατά την οποία το πρώτο τμήμα του λογισμικού που πρέπει να εκτελεστεί έχει υπογραφεί με κρυπτογραφημένο τρόπο από μια έμπιστη οντότητα.

Όπως επισημαίνεται από στελέχη της αγοράς, κρίνεται αναγκαία να ταιριάξει με ένα δημόσιο κλειδί ή πιστοποιητικό το οποίο κωδικοποιείται στην ίδια την συσκευή ώστε να μεγιστοποιηθεί η ασφάλεια και η αδιαπερατότητα της συσκευής.


Προετοιμαστείτε για τα χειρότερα!
Στην αγορά επικρατούν ορισμένες σταθερές: Πως ο ιδιόκτητος κώδικας είναι λιγότερο ασφαλής από το open source, ότι η συνδεσιμότητα είναι συχνά ανεπαρκώς σχεδιασμένη και ότι πολλά συστήματα επιτρέπουν την ανεξέλεγκτη μετακίνηση σε επίπεδο chip, αγνοώντας τον κανόνα της βέλτιστης πρακτικής της “ασφάλειας με διαχωρισμό”. Ο καλύτερος τρόπος να μετριαστεί το τελευταίο ζήτημα είναι μέσω virtualization του chip-layer. Το ερώτημα που προκύπτει είναι, πέρα από τις κλοπές δεδομένων και τις διαταραχές που σχετίζονται με το DDoS, ποια βλάβη θα μπορούσε να προκαλέσει η έλλειψη ασφάλειας της IoT στην ίδια την κοινωνία;

Για πρώτη φορά το 2015, σε ένα πείραμα που σχετιζόταν ε την ασφάλεια των διασυνδεδεμένων οχημάτων, αποδείχτηκε πώς ένα αυτοκίνητο θα μπορούσε να χακαριστεί εξ’ αποστάσεως, η οδήγηση και τα φρένα να απομακρυνθεί από τα χέρια του οδηγού, ενδεχομένως με καταστροφικά αποτελέσματα. Στη συνέχεια, οι επιθέσεις που συνδέονται με το Κρεμλίνο στους σταθμούς ηλεκτροπαραγωγής της Ουκρανίας τον Δεκέμβριο του 2015, αλλά και το 2016 κατέδειξαν χαρακτηριστικά πως το IoT firmware θα μπορούσε να γίνει hacked με χαρακτηριστική ευκολία και να διαταράξει την παροχή ενέργειας για εκατοντάδες χιλιάδες νοικοκυριά και επιχειρήσεις…

Όπως επισημαίνουν στελέχη που δραστηριοποιούνται στον ευρύτερο χώρο της ασφάλειας πληροφοριακών συστημάτων, όσο το IoT εξακολουθεί να διεισδύει και να αποτελεί τμήμα σε ολοένα και περισσότερα κρίσιμα πληροφοριακά συστήματα, τόσο και θα αυξάνεται η πιθανότητα της πρόκλησης μεγάλης ισχύος, έκτασης και έντασης επιθέσεις σε υποδομές και συστήματα που άπτονται της καθημερινότητάς χρηστών, πόλεων, οργανισμών, ακόμη και ολόκληρων κρατών!

Αρκεί να σημειωθεί πως ουκ ολίγες Αρχές παγκοσμίως, όπως λ.χ. ο Αμερικανικός στρατός, δηλώνουν “προβληματισμένες όσο και ανήσυχες” σε ότι αφορά τα ρίσκα που άπτονται και απορρέουν από το ίδιο το IoT! Μάλιστα, στις ΗΠΑ προχώρησαν και ένα βήμα παραπέρα, καθώς εκπόνησαν μια ενδελεχή μελέτη με βάση την οποία έχουν περιγράψει και εξετάσει μια σειρά από σενάρια που σχετίζονται με την εθνική ασφάλεια της εν λόγω υπερδύναμης και στα οποία τα ρίσκα της IoT ασφαλείας είναι σε θέση να βλάψουν σημαντικά λειτουργίες, εξοπλισμό όσο και προσωπικό που υπάγονται του υπουργείου Εθνικής Άμυνας. Στα σχετικά παραδείγματα συμπεριλαμβάνονται πιθανές ενέργειες δολιοφθοράς μιας αποστολής ή εξοπλισμού, λειτουργιών ασφαλείας, καθώς επίσης και το να τεθεί σε απόλυτο κίνδυνο η ίδια η ηγεσία.

Συμπέρασμα; Οι επιθέσεις μπορούν να εκδηλωθούν με εντυπωσιακά μεγαλύτερη ευκολία σε σχέση με ότι μπορεί να πιστεύουν ή θεωρούν οι ίδιοι οι IoT κατασκευαστές. Δεν έχετε παρά να αναλογιστείτε τι μπορεί να συμβεί στην περίπτωση κατά την οποία κάποιος απλά “χακάρει” και ελέγξει εξ’ αποστάσεως και μαζικά τους “έξυπνους” οικιακούς θερμοστάτες.

Εάν περνά από το μυαλό σας η πιθανότητα πως μπορεί να “πέσει” ολόκληρο το σύστημα ηλεκτροδότησης της χώρας, βρίσκεστε σε σωστό μονοπάτι σκέψης…

Υπάρχει τρόπος αντίδρασης;
Θεωρώντας -και δικαίως- εκ προοιμίου πως οι προκλήσεις στο επίπεδο της ασφάλειας των υφιστάμενων IoT συστημάτων είναι κάτι παραπάνω από μεγάλες όσο και υψηλού ρίσκου, η αγορά δείχνει να μην εμπιστεύεται ούτε τον ίδιο της τον εαυτό, γεννώντας μια σειρά από ερωτηματικά. Από την πλευρά τους, το 90% των τελικών καταναλωτών-μεμονωμένων χρηστών πιστεύουν πως η ασφάλεια θα πρέπει να βρίσκεται ενσωματωμένη στις ίδιες τις συσκευές. Παρήγορο θεωρείται το γεγονός ότι οι αρμόδιες Αρχές σειράς χωρών έχουν αρχίσει όχι απλά να σκέφτονται το ζήτημα, αλλά και να προβαίνουν στην υλοποίηση μιας σειράς δράσεων και ενεργειών. Έτσι, λοιπόν, στις ΗΠΑ για παράδειγμα η Γερουσία παρουσίασε το Internet of Things Cybersecurity Improvement Act, που έχει σχεδιαστεί με τέτοιο τρόπο ώστε να βελτιώσει τον μέσο όρο της επικρατούσας ασφάλειας στην αγορά, αυστηροποιώντας τις απαιτήσεις εκ μέρους των κρατικών προμηθευτών. Από την άλλη πλευρά, στην Αγγλία σε μια προσπάθεια περαιτέρω βελτίωσης των ισχυόντων standards, η κυβέρνηση πρόσφατα εξέδωσε ορισμένες κατευθυντήριες γραμμές που αφορούν τους κατασκευαστές συνδεδεμένων οχημάτων.

Έως ότου πληθύνουν οι κανονισμοί και οδηγήσουν στην θέσπιση ενός οργανωμένου πλαισίου λειτουργίας και με την σειρά τους οι κατασκευαστές IoT συσκευών ισχυροποιήσουν ανάλογα χαρακτηριστικά ασφαλείας, το βάρος και η ευθύνη για τον μετριασμό των κινδύνων που άπτονται της ασφάλειας εντός των επιχειρήσεων και οργανισμών πέφτει εξ’ ολοκλήρου στους CISOs. Κι αυτό, παρά το γεγονός ότι σε πρόσφατη έρευνα της PwC, μόλις το 35% των επιχειρήσεων έχουν στους άμεσους σχεδιασμούς τους την αξιολόγηση της διασύνδεσης των συσκευών και των “τρωτών” ολόκληρου του επιχειρηματικού οικοσυστήματος.

Εξυπακούεται πως η συγκεκριμένη παράμετρος και πραγματικότητα οφείλει να μεταβληθεί άρδην όσο και άμεσα! Την ίδια στιγμή, η τεχνολογία μέσω της πληροφορικής της έκφανσης οφείλει με ιδιαίτερη αυστηρότητα και αυξημένο βαθμό προσοχής να παρατηρεί την χρήση των IoT συσκευών, να κάνει πράξη την προάσπιση της ασφάλειας του συνόλου των συσκευών, να διαμοιράζει τις συσκευές σε θεωρούμενα ως μη-κρίσιμα δίκτυα, να αποκρύπτει το σύνολο των IoT επικοινωνιών, καθώς επίσης και να εκπαιδευτεί το προσωπικό αναφορικά με τους κινδύνους, τα ρίσκα και τις προκλήσεις.